• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Разглашение данных в toStaticHTML

Главная Специалистам База уязвимостей Разглашение данных в toStaticHTML

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:N/I:P/A:N)
Производитель ПО
Наименование ПО
Microsoft Internet Explorer (7.0, 8.0) Microsoft Office SharePoint Server (Server 2007 SP2, Server 2010, Server 2010 SP1) Microsoft SharePoint Services (Services 2.0, Services 3.0, Services 3.0 SP2) Microsoft Updates (KB2530548, KB2559049, KB2586448, KB2618444, KB2647516, KB2675157, KB2699988, KB2719177, KB2722913, KB2744842, KB2761451, KB2761465, KB2792100, KB2809289, KB2817183, KB2829530, KB2838727, KB2846071, KB2862772, KB2870699, KB2879017, KB2888505, KB2898785, KB2909921, KB2919355, KB2925418, KB2936068, KB2957689, KB2962872, KB2963950, KB2963952, KB2976627, KB2977629, KB2987107, KB3003057, KB3008923, KB3021952, KB3032359, KB3038314, KB3049563, KB3058515, KB3065822, KB3078071, KB3087038, KB3093983, KB3100773, KB3104002, KB3124275)
Описание
Разглашение данных существует в Internet Explorer в способе обработки контента HTML с некоторыми строками. Для эксплуатации уязвимости злоумышленник должен создать специально сформированную веб-страницу, которая позволяет получить доступ к данным, когда пользователь просматривает веб-страницу. В случае успешной эксплуатации уязвимости злоумышленник может использовать межсайтовое выполнение сценариев, что позволит ему выполнить сценарий в контексте безопасности пользователя, используя toStaticHTML API.
Как исправить
Используйте рекомендации производителя:
http://www.microsoft.com/technet/security/Bulletin/MS11-050.mspx
Ссылки
MS (MS11-050): http://www.microsoft.com/technet/security/Bulletin/MS11-050.mspx

Источник: CVE
Наименование: CVE-2011-1252
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1252